El 30 sept 2021, a las 12:31, Toni Pérez escribió:Me parece lo correcto preparar una respuesta y casi mejor si fuese única y firmada por RedIRIS como eduroam-ES
Pero no entraría al detalle de cada frase porque saldrán cientos de blogs con interpretaciones y traducciones.
(y casi que nos va bien el ruido que hagan para volver a poner en la mesa la desvinculación de credenciales SSO y eduroam...)
Veo algunos comentarios…
Yo creo que la respuesta debería de ser corta y propongo unos puntos. Feel free a cualquier aportación y/o corrección:
- eduroamCAT es la única forma de asegurar una correcta configuración del dispositivo Wi-Fi protegiendo credenciales y servicio.
- Cualquier configuración manual pone en riesgo las credenciales del usuario y suplantación del servicio
Exacto.
- Es cierto que utilizar PAP implica enviar las credenciales en claro pero están protegidas si el canal está cifrado y autenticado (asegurado por la correcta configuración con eduroamCAT)
Totalmente de acuerdo.
- Utilizar MsCHAPv2 sobre un canal inseguro también permite derivar las credenciales del usuario y además implica guardar los passwords con NTHASH en los repositorios corporativos lo que supone un riesgo ante una posible brecha. Utilizar PAP permite guardar los passwords con un salted-hash robusto.
- Al ser muy difícil implantar mecanismos que eviten configuraciones manuales por parte de los usuarios se recomienda:
- Desvincular las credenciales corporativas SSO del servicio eduroam (credenciales dedicadas únicamente al servicio eduroam)
Sentimientos enfrentados… por un lado EAP-TLS tiene cabida como uno de los métodos dentro de HotSpot 2.0/Passpoint (junto a TTLS+MSCHAPv2 - no TTLS+PAP-):
- Impulsar el uso exclusivo de EAP-TLS y evitar mecanismos de autenticación basados en usuario/password (EAP-PEAP y EAP-TTLS)
- EAP-TLS implica utilizar certificados de usuario y es complejo. Pero se está trabajando para simplificar su utilización de forma sencilla en eduroam.
Yo no les daría “publicidad”… pero sí que remitiría al advisory cuando alguien viniese mencionando alguno de estos sitios… al fin y al cabo no es la primera vez, ni probablemente llegue a ser la última. Otro asunto distinto sería que hiciesen en estos medios una rectificación… si surge la advisory sería una posibilidad… eso si quieren entrar a rectificar, que algunos podrían no querer hacerlo (el caso que exponía ayer Nicolás).
Luego podemos recoger los links de los diferentes foros:
--
--
Has rebut aquest missatge perquè estàs subscrit al
grup "eltermometretic" de Grups de Google.
Per publicar missatges a aquest grup, envia'ls per correu electrònic
a: eltermo...@googlegroups.com
Per a donar-te de baixa d'aquest grup, envia un correu electrònic a
eltermometret...@googlegroups.com
Si vols més opcions, visita aquest grup a
http://groups.google.es/group/eltermometretic?hl=ca?hl=ca
---
Heu rebut aquest missatge perquè esteu subscrit al grup "eltermometretic" de Google Groups.
Per cancel·lar la subscripció a aquest grup i deixar de rebre els seus missatges, envieu un correu electrònic a eltermometret...@googlegroups.com.
Per veure aquest debat al web, visiteu https://groups.google.com/d/msgid/eltermometretic/CAJ4iaX3-cUyQ_z_8w_9RLUf1%3D9rccMkwyqj-TQgtyGmbrZ5QtQ%40mail.gmail.com.